CISA hat seinem Katalog von Sicherheitslücken, die bei Angriffen ausgenutzt werden, eine fast drei Jahre alte RCE-Schwachstelle (High Severity Remote Code Execution) im Plex Media Server hinzugefügt.
Diese als CVE-2020-5741 verfolgte Sicherheitslücke ermöglicht es Angreifern mit Administratorrechten, beliebigen Python-Code aus der Ferne bei Angriffen mit geringer Komplexität auszuführen, die keine Benutzerinteraktion erfordern.
Angreifer mit „Administratorzugriff auf einen Plex Media Server könnten die Kamera-Upload-Funktion missbrauchen, um den Server dazu zu bringen, bösartigen Code auszuführen“, so ein beratend veröffentlicht vom Plex Security Team im Mai 2020, als es den Fehler mit der Veröffentlichung von Plex Media Server 1.19.3 gepatcht hat.
„Dies könnte erreicht werden, indem das Serverdatenverzeichnis so eingestellt wird, dass es sich mit dem Inhaltsort für eine Bibliothek überschneidet, in der der Kamera-Upload aktiviert ist. Dieses Problem konnte nicht ausgenutzt werden, ohne zuerst Zugriff auf das Plex-Konto des Servers zu erhalten.“
Während CISA keine Informationen über die Angriffe lieferte, bei denen CVE-2020-5741 ausgenutzt wurde, hängt dies wahrscheinlich damit zusammen, dass LastPass kürzlich bekannt gab, dass der Computer eines leitenden DevOps-Ingenieurs letztes Jahr gehackt wurde, um einen Keylogger zu installieren, indem ein Medium eines Drittanbieters missbraucht wurde Software-RCE-Fehler.
Die Angreifer verschafften sich schließlich Zugriff auf die Zugangsdaten des Ingenieurs und den LastPass-Unternehmenstresor. Dies führte im August 2022 zu einem massiven Datenverstoß, nachdem die Angreifer LastPass-Produktionssicherungen und kritische Datenbanksicherungen exfiltriert hatten.
Berichten zufolge wurde Plex RCE zum Hacken des LastPass-Ingenieurs verwendet
Obwohl LastPass nicht offenlegte, welcher Softwarefehler ausgenutzt wurde, um sich in den Computer des Ingenieurs, Ars Technica, zu hacken gemeldet dass das Softwarepaket, das auf dem Heimcomputer des Mitarbeiters ausgenutzt wurde, Plex war.
Zufälligerweise im August auch Plex benachrichtigt Kunden von einer Datenschutzverletzung und forderte sie auf, ihre Passwörter zurückzusetzen, nachdem LastPass eine zweite eigene Datenschutzverletzung aufgedeckt hatte.
Heute hat CISA auch eine Schwachstelle mit kritischem Schweregrad in VMwares Cloud Foundation (nachverfolgt als CVE-2021-39144), die seit Anfang Dezember in freier Wildbahn ausgenutzt wird, zu ihrem Known Exploited Vulnerabilities (KEV)-Katalog hinzugefügt.
Gemäß einer verbindlichen Betriebsrichtlinie vom November 2021 (BOD 22-01) sind nun auch die US-Bundesbehörden verpflichtet, ihre Systeme bis zum 31. März gegen Angriffe zu sichern, um Angriffsversuche zu blockieren, die durch Ausnutzung der beiden Schwachstellen auf ihre Netzwerke abzielen könnten.
Obwohl die BOD 22-01 nur für Bundesbehörden gilt, CISA stark gedrängt alle Organisationen, diese Fehler zu patchen, um sich gegen laufende Angriffe zu verteidigen.
